تعريف التطبيق
تقوم عملية QFlow باستخدام algorithms لتحديد تطبيق التدفق. تعتمد كل طريقة حسابي على أنواع مختلفة من المعلومات لتحديد التطبيق.
IBM® QRadar® Network Insights يعتمد على مجموعة خاصة به من المفتشين وطرق اكتشاف التطبيقات. QRadar Network Insights، تعد Algorithms QFlow يتم استخدامها فقط عندما لا يستطيع QRadar Network Insights تعريف بروتوكول محدد.
| قيمة رقمية | اسم اللوغاريتم | الوصف |
|---|---|---|
| 2 | توقيعات التطبيق | هو طريقة حساب تعتمد على البيانات الفعلية والتي تقوم بالبحث في الطريقة التي يتم بها تنظيم المحتويات الأساسية. تقوم طريقة الحساب هذه باستخدام المعلومات من ملف signatures.xml . |
| 3 | فك التشفير القائم على أساس الدولة | هو طريقة حساب تقوم على أساس البيانات الفعلية وتستخدم منطق داخلي مركب. |
| 4 | مناظرة على أساس-منفذ QRadar | هي طريقة الحساب التي تعتمد على المنفذ والتي تستخدم كشف تم تعريفه مسبقا لمناظرات التطبيق. تقوم طريقة الحساب هذه باستخدام المعلومات من /opt/qrad/conf/appid_map.conf file. |
| 5 | مناظرة قائمة على منفذ المستخدم | هي طريقة الحساب التي تعتمد على المنفذ والتي تستخدم كشف يمكن تهيئته بمناظرات التطبيق. استخدم هذه الطريقة لاضافة مناظرات مبنية على أساس منفذ جديد أو لاعادة تصنيف المناظرات الموجودة التي تأتي مع QRadar. تقوم طريقة الحساب هذه باستخدام المعلومات من /opt/qrad/conf/user_application_mapping.conf file. |
| 6 | مناظرة بروتوكول ICMP | عبارة عن algorithm يعتمد على البروتوكول والذي يقوم بالبحث في نوع وكود البروتوكول. |
| 7 | مصدر التدفق | هي طريقة الحساب التي تعتمد على Exporter في المسار لتحديد التطبيق. على سبيل المثال ، تقوم عملية QFlow بدعم أكواد التطبيق التي تأتي من QRadar Network Insights. |
| 8 | توقيعات تطبيق QNI | يتم استخدام طريقة الحساب هذه بواسطة QRadar Network Insights. |
| 9 | مفتشون QNI | تم ازالة هذه الطريقة في QRadar Network Insights 7.5.0. |
| 10 | تصنيف تطبيق الانترنت لقوة-X | يتم استخدام طريقة الحساب هذه بواسطة QRadar Network Insights. |
| 11 جديد في 7.5.0 |
وحدة مقذوفات منفذ QNI | يتم استخدام طريقة الحساب هذه بواسطة QRadar Network Insights. وهو يشير الى أن التطبيق يتم تعريفه باستخدام المقذوفات المعتمدة على المنفذ ، ويمثل درجة منخفضة من الثقة. |
| 12 جديد في 7.5.0 |
بيانات QNI المبدئية | يتم استخدام طريقة الحساب هذه بواسطة QRadar Network Insights. وهو يشير الى أن التطبيق يتم تعريفه بواسطة استخدام البيانات المبدئية في جلسة التدفق ، ويشير الى درجة متوسطة من الثقة. |
| 13 جديد في 7.5.0 |
برامج QNI parsers | يتم استخدام طريقة الحساب هذه بواسطة QRadar Network Insights. وهو يشير الى أن التطبيق يتم تعريفه من خلال تحليل البيانات المتاحة لغويا ، ويمثل أعلى درجة من الثقة. |
التطبيقات المهيأة
اذا كان للمؤسسة الخاصة بك تطبيقات غير قياسية أو مهيأة ، يمكنك اضافتها الى /opt/qrad/conf/user_application_mapping.conf or signatures.xml files.
يمكنك استخدام المجال لوغاريتم تحديد التطبيق للتحقق من أنه تم استخدام اللوغاريتم الصحيح لتعريف التطبيقات المهيأة الخاصة بك. على سبيل المثال ، قد تقوم بتعريف تطبيق مهيأ قائم على استخدام المنفذ. يتم تعريف التدفقات من هذا التطبيق بواسطة algorithm 5 ، وهو المناظرة القائمة على منفذ المستخدم. بالتحقق من اللوغاريتم الذي يتم استخدامه لتعريف التطبيق ، يمكنك تخصيص مستوى من الثقة لمناظرة التطبيق.
للحصول على مزيد من المعلومات ، ارجع الى تعريف التطبيقات الجديدة و التطبيقات المفترضة في IBM QRadar Application Configuration Guide.